X-Force

公共部門のセキュリティー対策に遅れ – サイバー攻撃への防御向上のために州政府と地方自治体が2020年に実施すべきこと

2020-01-30

カテゴリー X-Force

記事をシェアする:

IBMの世界的なセキュリティー研究開発機関である IBM Security X-Force (Incident Response and Intelligence Services) の研究員は、連邦政府や地方自治体に影響を及ぼすセキュリティー問題について調査した結果、公共部門のサイバーセキュリティーとレジリエンシーは、緊急改善が必要な状況にあると強く主張しています。

米国市民は、公的記録へのアクセス、法執行機関による保護、教育や福祉、投票や選挙など、これら多数のサービスすべての提供を州政府および地方自治体に依存しています。これらの行政機関のおかげで、市民は民主主義を享受し、社会サービスの恩恵を受けることができています。技術の進歩につれて、これらのサービスをさらにデジタル化してほしいという利用者からの要求も増えています。

州政府や地方自治体は、市民へのサービス提供方法を随時刷新し、以前は対面または紙でしか入手できなかったものへのアクセスをデジタル化することで要求に応えてきました。

このデジタル・トランスフォーメーションは前向きな一歩であり、市民は快適な自宅から簡単に州のサービスにアクセスできるようになる一方、以前には内部だけにあったシステムをインターネット上に開示することでリスクを高めることにも繋がっています。管理機関が管轄内の住人について収集・保持している個人情報の幅広さを考えれば、脅威アクターが身代金目的で盗難、漏えい、暗号化を目論み、データ豊富なレコードを探し求めてやってきても不思議はありません。

行政が収集するデータ群にはサイバー犯罪者にとって特別な魅力があるため、州や地方自治体の重要なデジタル・システムを確実に保護するには、同様に特別なアプローチが必要です。これらのシステムを適切に保護するには、より安全な将来を実現するための資金と戦略の両方が必要です。

International City/County Management Association (ICMA) (PDF, 英語, 9.6MB)による 2016 年の調査によると、地方自治体はシステムのセキュリティー向上にむけて、他のどの関連支援よりもその種の支援を必要としていました。

Chart from the International City/County Management Association Survey 2016

図1:最高レベルのサイバーセキュリティーを確保するために地方自治体が必要とする要因のトップ3(出典:ICMA (PDF, 英語, 9.6MB)

続いての注目点として、ICMAは、この調査で自治体や郡の回答者の44%がサイバーセキュリティー対策により多くの資金が必要と感じると回答、38%がより良いサイバーセキュリティー・ポリシーの必要性に言及、38%が自治体の職員により高いサイバーセキュリティー意識を求めたことが示されています。

納税者の資金に数十億ドルの損害

公共部門を襲うデータ漏えいは、納税者に年間 10億ドル以上の損害を与えています。この推定値には、公共部門が直面しているセキュリティー・リスクの高まりに州政府も注目せざるを得ません。

Identity Theft Resource Center (ITRC) の「2018年末データ漏えいレポート (PDF, 英語, 6.7MB)」によると、2018年は政府/軍事部門に対するデータ漏えいにより 1800万件を超えるレコードが漏えいしました。また、Ponemon Instituteが毎年発表する「情報漏えい時に発生するコストに関する調査」(IBM提供)を見ると、2018年の公共部門の損害レコードの平均コストは 1人当たり75ドルであることがわかります。これらの数値を合計すると、潜在的損失はたった 1年間で 13億5,000万ドルになります。

政府のシステムを侵害するデータ漏えいやランサムウェア攻撃が非常に頻繁で費用のかかる問題であることを考えると、これらのコストはすぐに増加する可能性があります。2019年5月に米国メリーランド州ボルチモア市を襲った 1回のランサムウェア攻撃は、テクノロジーをアップグレードするのに要した費用と収益からの損失で、最終的に 1,800万ドルを超える 損害を市に与えました。この 1,800万ドルという予想外の支出により、今後数年間分の市の予算が無駄に失われたのです。

金銭目的のサイバー犯罪行為に対処するためにかかるコストは、敵対国から組織的な攻撃を受けた場合に国家に降りかかる莫大な損失に比べればささやかなものです。2015年、ケンブリッジ大学 とロイド大学が公開したレポートは、米国の送電網がサイバー攻撃を受けた場合、ニューヨーク市とワシントンDCの間にある 15州と、そこに住む9,300万人が停電に見舞われる可能性があると指摘していました。このような攻撃における米国経済への影響総額は、2,430億ドルから 1兆ドルと推定され、資産とインフラストラクチャーへの直接的な損害、電力供給会社における販売収益の損失およびサプライ・チェーン全体の混乱につながる可能性があります。

敵は多く、攻撃は絶え間ない

報道によると、公共部門にサイバー攻撃を仕掛けた敵は、サイバー犯罪グループから国家支援の脅威アクター にまで及ぶと言われています。この国家支援の脅威アクターとは、米国人事管理局 (OPM) に起こった深刻な情報漏えい(後に中国による犯行 と判明)などを指します。

公共部門は金銭目的のサイバー犯罪者による攻撃も免れません。彼らはランサムウェア攻撃で都市を攻撃し、データのロック解除と引き換えに脅迫してきます。2019年の夏に発生したあるケースでは、テキサスの少なくとも22の自治体 がランサムウェアに感染し、身代金目的でデータを拘束されました。この攻撃は組織的なサイバー犯罪行為であることが判明しています。

利益を上げたいサイバー犯罪者にとって、行政機関が保管する市民のデータは正に宝の山です。そこには、IDの盗難やさまざまな不正詐欺で利用できる個人情報 (PII) が豊富に記録されているのです。機密情報の収集や、重要なインフラストラクチャーの破壊を行う可能性のある国家支援の脅威アクターにとって、州政府や地方自治体のネットワークは多数の目的を果たせる価値の高いターゲットです。

政府部門をターゲットとするような多様な目的を持つ攻撃者は、しかけてくる攻撃の数も非常に多くなっています。2016年の ICMA調査では、ITシステム上のサイバー攻撃(攻撃、インシデント、漏えいを含む)の頻度を認識している地方自治体の60%が、毎日ほぼ 1時間に 1度はネットワークに悪意のあるアクセス試行および攻撃が仕掛けられていると報告しています。

不十分な対応

過去5年間、公共部門に対する悪意のあるサイバー活動が注目を集めていますが、危険度が高かったにもかかわらず政府機関の対応は必ずしも十分ではありませんでした。

たとえば、サイバー攻撃によって 重要なインフラストラクチャーに被害が発生した場合は、現行の法律のオンライン更新が遅れるとか、オンライン・ポータルが再び機能するようになるまでしばらくは手書きの確認に戻るとかいった不便さをはるかに上回る被害が発生する可能性があります。地方自治体がサイバー攻撃や情報漏えいの被害に合った場合、市民は次のように、単純な不便さよりもはるかに悲惨な被害に直面する可能性があります。

  • 病院の手術室で重篤患者の治療中に停電が発生する
  • 警察や緊急対応者が現場に到達できず、危機に対応できない
  • 地方の大学が蓄積した数十年分もの知的財産や研究成果を失う
  • 地区検察局や警察署が重要な運用データを失う
  • 指紋などのバイオメトリック・データを含む市民の個人情報が悪意のあるアクターの手に渡り、生涯にわたって不正な IDアクセスの攻撃の対象となる

残念ながら政府機関は敵対的攻撃に日々直面しており、この種のリスクは高まる一方です。

米国上院は、連邦のサイバーセキュリティーが、本来であればリスクの軽減につながる基本的なポリシーやコントロールが適用されずに放置された状態にあったと文書に残しています。地方自治体の情報システムに特有の課題に対処し、脆弱性のレベルを下げるには、全方位型のサイバー・レジリエンス計画をすべての州政府および地方自治体のセキュリティー戦略 に統合する必要があります。

IBM Security X-Forceの研究員は、この入り組んで複雑な攻撃対象領域を細分化して、この問題に関するレポートを提供し、州政府や地方自治体に固有の重要な問題をいくつか特定しました。ぜひレポートをご一読ください。

「州政府と地方自治体向けのサイバーセキュリティー対策:公共インフラをセキュアにするには」を読む(英語)

 

【関連情報】

IBM X-Force Incident Response and Intelligence Servicesの概要

【お問い合わせ】

メールでのお問い合わせはこちらから

【著者紹介】

IBM Security X-Force

IBM Security X-Force

IBM X-Force Incident Response and Intelligence Services チームは熟練した専門家のグループで、今日の高度化するグローバルな脅威の状況に対する組織の強化を積極的に支援します。IBM Security X-Forceの専門家は、何十年にもわたる先進的なインシデント管理、セキュリティー・インテリジェンス、および修復の経験を生かし、公共および民間部門の 17の業界で数百もの情報漏えい調査についての相談に応じてきました。

この記事は次の記事の抄訳です。
Public Sector Security Is Lagging — How Can State and Local Governments Better Defend Against Cyberattacks in 2020?(英語)


前の記事

IBM、「2019年ガートナー社統合エンドポイント管理 (UEM) ツールのマジック・クアドラント」でリーダーの1社と評価

次の記事

コロナウイルスが Emotet でサイバー脅威化:X-Force Exchange で公開中
More X-Force stories

セキュリティー・インテリジェンス

2024-02-27

大規模言語モデル(LLM)の隠れたリスク:催眠術をかけられたAIの実状

この記事は英語版 Security Intelligenceブログ「Unmasking hypnotized AI: The hidden risks of large language models」(2023年8月8 […]

さらに読む

不正情報詐取防止

2024-01-26

AIと人間の不正搾取対決:新時代のフィッシングの手口を解明する

※この記事は、IBM X-Force Redに所属するエシカル・ハッカーのStephanie Carruthersにより執筆された文章を翻訳しています。   攻撃者の技術革新は、テクノロジーの発展とほぼ同じスピ […]

さらに読む

セキュリティー・インテリジェンス

2023-02-22

IBM Security Trusteer Rapport (ラポート)のダウンロードおよび購入を騙る不審サイトにご注意ください

架空の団体から贈与金を受け取れる等のフィッシング・メールが届き、メール本文に記載されたリンクをクリックすると不正サイトへ誘導され、金銭を安全に受け取るためと称して IBM Security Trusteer Rappor […]

さらに読む